Jen stíny rootkitů, nebo skutečná hrozba?

Hovado, nejdrive si sezen grafy, diagramy a tabulky - teprve potom sesmol svuj trapny text, ktery kazdy normalni clovek preskoci, protoze ho zajimaji fakta - nikoliv tve znacne otupele kecy.

Nemohu si pomoci, ale clanek na ktery odkazujete ohledne rootkitu mi pripadne jako predloha. Vas clanek se jevi jako jeho vycuc. Skdoda ,ze jste se nezameril na jine tema

jojo, kdyby psal o uhrech na zadku, jiste by to melo vyssi informacni hodnotu nez tenhle blabol...

...že existují určité druhy "virů", které jsou neviditelné pro antiviry.

by som ešte doplnil, že dokiaľ budú štandartné metódy (vírusy and comp.) dostatočne účinné, tak sa rootkity nebudú veľmi presadzovať - neoplatí sa to...

V praxi se s nimi příliš často nepotkáváme i když hodně záleží na "kvalitě" uživatelů. Někteří uživatelé se snad zavirovávají schválně i když mají všechny možné či nemožné ochrany. Technologii rootkitů nelze nijak eliminovat, ale otázka je JAK se na PC dostanou. Kvalitní kombinovaný bezpečnostní produkt obvykle zablokuje instalaci rootkitu a zabrání aby infltroval systém. Je to jenom PROGRAM a někdo ho musí spustit. Takže zaplátovat systém, používat firewall a kvalitní bezpečnostní produkt a hlavně neklikat na kde co

Mac ( technická podpora serveru www.AntiviroveCentrum.cz)

podľa mňa stačía dve veci:

nebežať pod administrátorom

inštalovať výhradne z vierohodných zdrojov (on-line repozitáre apod), ak potrebujete inštalovať niečo mimo pakcage managera, tak si to dávajte pod užívateľa

Trošku přehlížíte běžného uživatele, který nepozná, co je a co není důvěryhodný zdroj. Laik ani nepozná, co je reklama a co obsah stránky, o kontextové reklamě ala google vůbec nemluvě. Další potíž je, že se obvykle nemají na koho obrátit. Vy zajisté spadáte do kategorie, že rádi vše vysvětlíte, lidé to odkývou a tím to končí.

Je jediné jednoduché řešení. Dostatečně jednoduchý systém, ideálně uložený na ROM, který nebude skýtat mnoho možností na změnu, ovšem tím pádem ani bezpečnostní rizika a všichni odborníci ho automaticky odsoudí pro nedostatek jim potřebných funkcí.

on-line repositare jsou duveryhodny zdroj? Tak to muze napsat jen clovek, ktery ABSOLUTNE netusi o cem mluvi!

Len pre zaujímavosť, ktoré zdroje sú podľa teba doveryhodnejšie?

Samozrejme online repozitar si môže zriadiť ktokoľvek, ja som mal na mysli tie hlavné distribučné repozitáre

uviedli ste tu pár nástrojov ale také jednoduché to nie je. Určite fungujú na jednoduchšie rootkity, kde autor pozmenil funkciu a, ktorá sa využíva v 99,9 % volaní, ale zabudol na funkciu b ktorá sa nepoužíva takmer vôbec, ale vie poskytnúť tie iste vystupy. Ten program potom napríklad porovná vystupy týchto dvoch funkcií a zistí, že tu niečo nesedí, alebo priamo použije b a zistí niečo čo tam nemá byť.

Rotkit musí pamätať nielen na výpis obsahu adresára, včítane pozmenenia skutočnej veľkosti binárok, dátumu zmeny súboru, ale aj výpis bežiacich procesov, využitia RAM, sieťových pripojení a kopu iných vecí.

Najspoľahlivejší spôsob je vypnúť stroj, nabutovať livecd a skontrolovať md5sumy (ak máte zodpovedajúce sumy z času, ked bol system 100 % vierohodný), alebo aspon zistiť či od poslednej aktuálizácie sa nezmenila štruktúra a veľkosť súborov na rootovskej partícií.

Este jedna pripomienka, neviem či môže existovať nečo ako user-mode rootkit, akosi mi to logicky nesedí

Ani nejsou potreba aktualni kontrolni soucty. Uplne staci porovnat stav pri bezicim systemu a stav pri nabootovani z Live CD. Pokud zjistim, ze po bootu z CD se mi najednou na disku objevilo sest adresaru a cela nova vetev v registrech, tak mohu pomerne spolehlive predpokladat, ze mam v systemu rootkit...

User-mode rootkit muze docela dobre fungovat, ale samozrejme jen pro toho uzivatele a jeho "podrizene", pod kterym bezi. Predstavte si to treba jako obycejny keylogger, ktery se pokusi "vymazat" ze seznamu bezicich uloh v Task Manageru.

OK, máš 100 % pravdu s tým prvým, to ma nenapadlo, ale je to úplne logické

re druhý odstavec, neviem či pod windowsom dokáže užívateľský program ovplyvniť výpis Task Managera, ale pod linuxom si to neviem predstaviť, teda že by pozmenil výstup príkazu ps, prípadne top/htop, a ak nie priamo tieto príkazy, to by asi musel pozmeniť potom samotný program konzoly (rxvt a pod), ktorý by dodatočne upravil výstup týchto príkazov..., proste bez su práv si to neviem predstaviť...

Za urcitych okolnosti by to teoreticky slo i v (neadministrovane instalaci) linuxove distribuce .

Ve windows ale maji (temer) vsichni (99% BFU) admina nebo Microsoft vydava aktualizace kazde druhe utery v mesici , takze je zde dostatek prostoru pro napadeni i v pripade administrovaneho systemu. Oni kluci redmondsti mozna jednou pochopi co je to bezpecnost

Myslím, že kluci redmonští chápou spoustu věcí. Takže např. Vista je jistám krokem k bezpečnosti (UAC). A ve výsledku většina lidí nadává, že to furt něco kontroluje a ptá se to a vypínají tuto ochranou funkci. Takže kudy ven?

Udelat vychozi nastaveni UAC podobne jak je tomu v pripade SUDO a vsichni budou nadavat podstatne mene.

Zapomel jste napsat "IMHO".

Pokud by to tak bylo a lidi by nenadavali, verim tomu, ze by se to implementovalo. V situaci, kdy obyc BFU bude muset cosi psat/prepinat/prehlasovat pred nainstalovanim "zajimaveho" programu z PPK, zacne nadavat.

Já vidím problém v tom, že lidi vůbec nečtou, co jim ten počítač píše. Navíc, když je to anglicky (firemní politika).

Dovedu si predstavit treba to, ze periodicky zkoumam zobrazovana okna a pokud najdu "Task Manager", tak v nem jeden urcity radek prekreslim necim jinym. Pri vedomi toho, ze drtiva vetsina uzivatelu pouziva prave TM a v defaultnim nastaveni (tj. napr. jeden urcity font v jedne urcite velikosti), tak by ani nemuselo byt tak tezke to udelat.

Nebo napriklad muzu do adresare Total Commanderu nahrat novy kernel32.dll, ve kterem bude vsechno fungovat normalne, akorat FindFirstFile/FindNext nebude vracet o souborech koncicich na rootkit.exe. (Zduraznuju, ze "user mode rootkit" znamena pouze to, ze rootkit _bezi_ pod uzivatelem a ne pod systemem; nic to nerika o tom, pod jakymi opravnenimi byl _instalovan_).

Na Linuxu treba to, ze do adresare na zacatku PATH vlozi skript se jmenem ps, ktery prevezme vystup skutecneho ps a upravi ho. To z nej dela user-mode rootkit, bez ohledu na to, ze ho do toho adresare v ceste zrejme naahravat nekdo s pravy roota.

(Samozrejme, nez abych prekresloval okno, to si radsi spustim casovac a prostrednictvim prislusnych zprav pro listbox kazdou desetinu sekundy prectu seznam zobrazenych uloh a ty nezadouci zase jinou zpravou vymazu...)

samozrejme môžeš urobiť alias na ps ktorý bude smerovať nejaký ps v tvojom domácom adresáry, na to nepotrebuješ práva roota, ale:

1) jednoduchá obrana je spúšťať nie ps ale /bin/ps

2) nefungovalo by to pri prihlásení na iného užívateľa

3) čo iné programy ako ls, top, pstree a pod?

Takže neviem, či vôbec by bolo správne označovať niečo také ako rootkit. Možno by sme to mohli označiť ako vírus alebo malware, ktorý sa primitívnym spôsobom snaží zakryt svoju prítomnosť v systéme...

1) Puvodni /bin/ps zkopiruju do /bin/psx, svuj "rootkit" nahraju do /bin/ps

2) Viz 1

3) Totez muzu udelat i s nimi. Jde jen o to, jak dukladne to budu chtit udelat. Pokud mi bude stacit jen uprava dvou tri programu, je pro me jednodussi takovyto usermode rootkit nez se patlat s kernelmode rootkitem; pokud to budu chtit udelat neodhalitelne (tedy aspon zevnitr napadeneho systemu), tak se samozrejme na usermode vykaslu a napisu si to jako kernelmode.

Zakryti pritomnosti v systemu je jednou ze zakladnich charakteristik rootkitu. Jestli to dela sofistikovane nebo primitivne uz je vcelku podruzny detail.

re 1 a 2 - na to potrebuješ su práva, ja som rozoberal situáciu ako by mohol (ne)fungovať "rootkit" nainštalovaný pod užívateľom.

Potom už vôbec nerozumiem čo by mal byť user-mode rootkit, ked na jeho inštaláciu potrebuješ roota....

re 3 - to áno, musel by si modifikovať kopu takýchto utilitiek, inak zaujímavá protiotázka, to by si všetky tieto utilitky na tom stroji kompiloval na mieru? To by teoreticky šlo keby to robil živý človek ale toto všetko zautomatizovať by mohol byť dosť problém

Aha, teraz ma napadlo, že som možno len nesprávne pochopil čo mal znamenať ten user-mode rootkit, pokiaľ by sa user-mode vzťahovalo na user-space (vs kernelspace), tak áno potom by to zahrňalo aj zmeny v systémových súboroch....

Mozna nepochopil, ze nejde o W98

Re 1 a 2: Tak naposledy. Prectete si vy i ostatni dva reagujici na vas tuhle vetu, ktera snad vnese do problemu jasno: (Zduraznuju, ze "user mode rootkit" znamena pouze to, ze rootkit _bezi_ pod uzivatelem a ne pod systemem; nic to nerika o tom, pod jakymi opravnenimi byl _instalovan_).

Usermode rootkit je rootkit, ktery bezi jako normalni aplikace a ne jako soucast systemu. Tedy treba zameneny soubor /bin/ls bude usermode rootkit, zatimco kdyby se to nainstalovalo jako low level ovladac disku a falsovalo to vsechna cteni, tak to bude kernelmode rootkit.

čo je systém?

v článku sa píše: "Naproti tomu kernel mode rootkity zasahují přímo do některých částí operačního systému"

ty si napísal: "Usermode rootkit je rootkit, ktery bezi jako normalni aplikace a ne jako soucast systemu"

je ls, ps, htop normálna aplikácia alebo je to súčasť systému? Ja by som to označil ako "systémová utilita", teda súčasť systému, aplikácie sú firefox alebo gimp....

Takže aj článok mohol byť presnejší a rozdeliť rootkity na tie ktoré menia jadro (kernel, moduly) a tie ktoré menia zvyšok OS

Vim velmi dobre co je usermode rootkit, ale Vy mate evidentne problem s pravy v unixech, byla to reakce na Vase

"1) Puvodni /bin/ps zkopiruju do /bin/psx, svuj "rootkit" nahraju do /bin/ps"

root@server:/# ls -l /bin

....

-rwxr-xr-x 1 root root ps

-rwxr-xr-x 1 root root ls

....

vidite tam nekde pravo zapisu pro skupinu a others? Nejprve musite ziskat roota a to je oc tady kraci.

Ziskani prav roota ovsem s rozdelenim na kernel a usermode rootkity nijak nesouvisi a proto nevidim duvod, proc bych to mel zminovat. Nehlede na to, ze jde o obecny problem platny pro vsechny operacni systemy a je velice iluzorni se domnivat, ze jeden to resi nejak vyznamne lepe nez druhy - nanejvys se da debatovat o tom, ktery system instaluje vetsi procento amateru, kteri bezpecnostni navyky neznaji a nemaji.

Instalace rootkitu muze ostatne probihat mnoha ruznymi zpusoby, mimo jine treba tak ze statni organ se potaji vloupe do vaseho bytu a nasadi to na vas pocitac (a jak jiste uznate, pokud nemate sifrovany systemovy disk, tak tohle lze pri lokalnim pristupu udelat na zcela libovolnem systemu).

Doporucuji projit jeste jednou cele vlakno, jeden prispevek po druhem aby Vam bylo jasne o cem se bavime resp. o cem byla puvodni debata .

Statni organ bude mit po vloupani do meho bytu s prominutim "ukousnutou prdel" od neceho hodne velkeho a lokalni pristup k memu stroji? Preju hodne stesti .

Ctu tu debatu a vidim dva zmrdy, jak se snazej mit pravdu za kazdou cenu, porad neco upresnujou a slovickarej a nakonec ho nechaj cist to znova a zase neco: doufam, ze se na vas pepak vysral a nebude si kazit naladu s takovejma ptakama...

(palecnahoru)

Ale studentiku, tohle nema uroven. Pepak je tupon ktery v debate o USERMODE rootkitech plete pate pres devate a instaluje ptakoviny pod rootem ikdyz se bavime o kompromitaci skrze bezny UZIVATELSKY ucet.

Mam te za dalsiho tupone ktery nevi co jsou pristupova prava a ohani se slovickarenim, doufam ze Pepak zalezl nekam do diry ke svym windows 98 a jiz nebude otravovat vzduch.

Pokud se bavime o platforme x86, neni zadny problem pri lokalnim pristupu ke stroji roota ziskat. Lze to ztizit, ale nelze to vyloucit. Problematicke misto je prilis nizko v HW , nez aby to mohl OS uspesne ovlivnit.

Clanek je absolutne o nicem, pouze se snazo popsat nekolik malo nasrtoju pro odhaleni rootkitu.

Pokud tady v diskusi nekdo naznacoval, ze je to problem jen Win, je vul, na to se neda nic jinyho rict. Od ceho asi tak slovo root-kit je?

Mate hlidaciho tucnaka s velkym zobakem?

Mnozne cislo a hodne velke poradne ozubene zobaky

1) potrebujes roota

Teoriticky máš pravdu, jenom, kdo to má hledat při tom počtu souborů a zápisů v registrech...

Jestli to dobře chápu, tak tím trpí windows. Takže nejlepší obrana proti rootkitům> zbavit se windows?

Jestli to dobře chápu, tak např. tuberkulózou, syfilisem atd. trpí lidi -> zbavit se lidí.

Zbavit se Windows není totéž, co zbavit se lidí. Já ve své síti Windows nemám a přesto počítače splňují účel, ke kterým byly určeny. A bez rootkitů, virů a trojanů.

Stejne jako mnoho jinych veci, i technika rootkitu se objevila na Unixech mnoho let predtim, nez vubec nekdo vymyslel nazev Windows

Díky.

Asi máš na mysli tu definíciu z wikipedie, kde ten autor uvádza okrem iného "...položek registru Windows...", som sa nad tým pozastavil, ale na konci tej difinície je zas uvedené "Rootkity existují pro mnoho operačních systémů.“ (a dúfam že autor nemyslel x verzií Windows XP, Vista a pod :) )

Přiznám se, skutečně o této problematice moc nevím, ale tak jak se to publikuje, vidím problém jen u windows. O ostatních OS se nepíše, tak tam asi problémy nejsou.

Rootkity jsou i na unixech, stejne tak nastroje na jejich vyhledavani, odstranovani a ochranu pred jejich nasazenim. Akorat v unixovych systemech neni céééé-dvojtečka-bordel, lide nepracuji pod uctem administratora a bezpecnostni zaplaty na zname problemy vychazeji kdyz je to potrebne a ne v predem naplanovanych terminech.

Na posledni vetu bych si dovolil reagovat - MS sice uvolnuje vetsinu zaplat kazde druhe utery v mesici, nicmene kriticke zaplaty _samozrejme_ uvolnuje asap. Napriklad tento tyden... Ostatne znam spoustu lidi, kteri i na -nixech pracuji pod rootem - kazdemu, co jeho jest. Takze si, budte tak laskav, strcte svuj flejm tam, kam ani slunce nesviti.

Ehm, mame zkusenbosti s kvalitou MS zaplat vidte , obcas zabezpeci system natolik ze nejde ani nastartovat .

Jaky flejm, staci se podivat na secunii a hned je videt jak vazne berou v redmondu bezpecnost.

Ano, mam zkusenosti se zaplatami MS - zaplatuji jiz sestym rokem tak nejak profesionalne a zatim jsem mel pouze jediny problem (s WinXP SP2 . Takze bud si tady lecite svoje mindraky, nebo mam asi teda _fakt_kliku_...

Vidite, ja zacal s widlema profesionalne v dobe NT3.5x, zaplaty jsme vzdy (ok, od 4.0 SPneco) testovali cca mesic pred ostrym nasazenim, ale co chudak BFU? Myslite ze BFU ma cas a penize na testovani zaplat, co male firmy typu franta a syn? Nejde jen o zkusene administratory kteri se drzi zasad, jde o princip ze MS se neda verit, ze vsechno delaji "napul" hlavne ze jsou prachy, on zakaznik vydrzi hodne, nestezuje si tak proc nepokracovat ve zdimani.

Přesně tak, o tom to je. Pro BFU je udržování Windows v dobrém stavu mnohem těžší, než udržovat běžnou distribuci Linuxu.